Esmu atradis diezgan interesantu rakstu, avots ir darkreading.com un autors ir Kellija Džeksona Higinsa. Es atstāju tā tulkojumu:
Java tumšā puse
Metasploit pievieno jaunu moduli jaunākajiem Java uzbrukumiem, kad Java kļūst par kibernoziedznieku jauno iecienītāko mērķi
01. gada 2011. decembris | 08:08
Autors Kellijs Džeksons Higinss
Tumša lasīšana
Tas ir dekadents līdzeklis no izstrādātāju puses, bet Java tā joprojām ir galvenā un joprojām bieži aizmirstā klātbūtne datoros, pret kuru aizvien vairāk vēršas ļaundari.
Kāpēc Java kā uzbrukuma vektors?
Tā iespiešanās spējas un novecojušo versiju pārmērīgais skaits, kas tur darbojas datoros, pēdējā laikā padara Java par hakeru izvēlēto melno cepuri. Skaitļi izsaka visu: Saskaņā ar Qualys datiem aptuveni 80 uzņēmuma sistēmās darbojas novecojušas, nepabeigtas Java versijas. Kopš 2010. gada trešā ceturkšņa korporācija Microsoft katru ceturksni ir atklājusi vai bloķējusi aptuveni 6.9 miljonus Java izmantošanas mēģinājumu, kopumā 27.5 mēnešu laikā 12 miljonus izmantošanas mēģinājumu.
Kopumā Java pasaulē izmanto 3 miljardi ierīču, un to izmanto 80% pārlūkprogrammu. Tikmēr daži ļoti lietpratīgi lietotāji piesardzības nolūkos to pilnībā atspējo vai atinstalē.
Šonedēļ plaši populārā atvērtā koda Matasploit iespiešanās pārbaudes rīka izstrādātāji jaunākajam Java uzbrukumam pievienoja jaunu moduli, kas ļaunprātīgi izmanto nesen aizlāpīto Oracle Java ieviešanas ievainojamību Rhino. Oracle Java SE JDK un JRE 7 un 6 atjauninājumu 27 un vecāku versiju trūkums, par kuru sākotnēji paziņoja pētnieki šeit y šeit un pēc tam ātri nonāca slepenā noziegumu programmu komplektā, kā to atklāja blogeris Braiens Krebss jūsu vietne. Krebs On Security ziņoja, ka uzbrukums tiek veikts arī noziegumu aparatūras komplektā BlackHole.
«Java ir visur, kur tā vēlas, un neviens to pareizi neatjaunina«Saka HD Mūrs, Metasploit un CSO izveidotājs un galvenais arhitekts Rapid7. «Ļoti maz uzņēmumu to atjaunina savos datoros.»
“Oracle patiešām piedāvā Java automātiskās atjaunināšanas funkciju, taču datora lietotājam ir nepieciešamas administratīvās privilēģijas, lai to izmantotu, ko lielākā daļa uzņēmumu neatļauj"Saka Mūrs.
Microsoft uzticamās skaitļošanas direktors Tims Rainss šīs nedēļas sākumā ierakstā norādīja, ka Oracle Java programmatūras lāpītās kļūdas ir aplenktas jau vairākus mēnešus. «Oracle Java programmatūras ievainojamības jau vairākus mēnešus tiek uzbrukušas salīdzinoši plašā mērogā, un, kā jau minēju, šo ievainojamību drošības atjauninājumi ir pieejami jau kādu laiku.»Saka lietus. «Ja nesen savā vidē neesat atjauninājis Java, jums jānovērtē pastāvošie riski. Cita starpā organizācijām jāapzinās, ka tām var darboties vairākas Java versijas.", Viņš saka.
Oracle Java kļūda, kuru Oracle aizlāpīja pagājušajā mēnesī, būtībā ļauj Java sīklietotnei palaist patvaļīgu kodu ārpus Java smilškastes. Rapid7 Mūrs saka, ka tā sauktais Java Rhino Exploit (kas darbojas uz vairākām platformām, ieskaitot Windows, iOS un Linux) notiek fonā, neapzinoties lietotāju, kuru skārusi ekspluatācija. Interesanti, ka Linux tagad ir vairāk pakļauts uzbrukumiem. «Oracle to izlaboja, Apple pieprasīja programmatūras atjauninājumu. Bet lielākā daļa pārdevēji Linux pakalpojumu sniedzēji?? nav pieprasījuši atjauninājumus"Saka Mūrs.
Parasti to izmanto kā pirmo posmu daudzpakāpju uzbrukumā, ko izmanto, lai lejupielādētu izpildāmo failu vai instalējot robotu.
Volfgangs Kandeks, Qualyx vadošais direktors, saka, ka teniss Metasploit, kas atbalsta jaunāko izmantošanu, palīdzētu palielināt izpratni par novecojušo Java lietotņu bīstamību. «Metasploit izmantošanas priekšrocības ir tādas, ka jauki puiši var parādīt, kā šis [uzbrukums] darbojas", viņš saka.
Viņš saka, ka daudzas organizācijas atklāja, ka Qualys klientu datos darbojas novecojušas Java lietotnes. «Pastāv tendence, ka Java lāpīšanai nav labu procesu. Viņš lido zem radara", Viņš saka.
---- Un šeit raksts beidzas.
Bez šaubām, tam ir daudz sakara ar to, ko mēs pieminējām iepriekš ... tas ir, attiecībā uz ko Canonical pārtrauks piedāvāt Java no Oracle savos krātuvēs (Ubuntu, Kubuntu, Xubuntuutt.), protams, jā Orākuls neļauj iekļaut atjauninājumus, tas nav tā vērts, jo lietotājs būtu pārāk neaizsargāts pret tādiem uzbrukumiem kā iepriekš minētie.
Jebkurā gadījumā, ko jūs domājat par to? 😉
Sveicieni
PD: Tieši vakar es lasīju pamācību par to, kā manā Nokia N70 ir iespējams instalēt Linux, es joprojām neesmu nolēmis to darīt LOL !!!
Es jau ilgu laiku izmantoju IcedTea (OpenJDK, bezmaksas), un man gandrīz vienmēr tas ir atspējots, jo es to gandrīz neizmantoju ...
Man ir maz, apmēram 3 mēnešus, izmantojot OpenJDK, es precīzi nezināju java drošības trūkumu, es to mainīju, tikai lai redzētu, kā libreoffice darbojas 😛
Es zinu, ka tas ir gandrīz offtopic, bet ... Linux uz Nokia? Kā? Ja es varētu izņemt symbian m___ no sava 5800, es būtu priecīgs!
Vai zinājāt, ka Symbian ir Linux pirmā māsīca? 😀
Jebkurā gadījumā es joprojām nelasīju pietiekami daudz informācijas par šo Linux operētājsistēmā Nokia ... neuztraucieties, kad atradīšu pienācīgu informāciju, es jums došu saites 😉
KZKG ^ Gaara ... neuztraucieties ar mani, bet ... tulkojumā ir dažas kļūdas, piemēram:
1 .- «... padara Java par melno cepuru hakeru vēlu izvēli» vajadzētu būt «.. pēdējā laikā viņi Java padara ļaunprātīgu hakeru izvēli»
2.- «Pārdevējs» angļu valodā nozīmē arī «Piegādātājs» («Piegādātājs»), tāpēc frāze «Bet lielākā daļa Linux pārdevēju ...» paliek bez problēmām «Bet lielākā daļa Linux piegādātāju ...»
Sveicieni
Nē par neko 😀
Tas mani tiešām netraucē, es neesmu profesionāls tulks, vēl jo mazāk LOL !!!
Es to laboju tieši tagad 😉
Patiešām, liels paldies, saprast angļu valodu man nav grūti, kas man ir mazliet sarežģīts, es to uzrakstu un pasūtu spāņu valodā 😀
Sveicieni
????
Tas pats notiek ar mani ar spāņu valodu; Frāzes, kas satur vietējas izteiksmes, man ir grūti saprotamas. Lai gan viņi vismaz daži tomēr aizbēg no manis.
"Melnās cepures hakeris" ir izteiciens, ko lieto, lai apzīmētu ļaunprātīgo hakeri, un to tulkot spāņu valodā noteikti ir satraukums.
Sveiciens un spēcīgs apskāviens
Es nezinu, bet es zinu, ka RAE vārdnīcā neparādās apziņa.
Mums ir arī Linux pārdevēji, piemēram, Tito Marks un viņa rokaspuiši
Apskatīsim ... mans klēpjdators ir ražots Ķīnā, bet KVALITĀTES kontrole ir HP B sērija, tas ir, ... sastāvdaļas tiek ražotas Ķīnā (lēts darbaspēks ...), bet kurš izlemj, kuras sastāvdaļas ir pietiekami labas, ir ražotājs 😉
"Oracle patiešām piedāvā Java automātiskās atjaunināšanas funkciju, taču datora lietotājam ir nepieciešamas administratīvās privilēģijas, lai to izmantotu, ko lielākā daļa uzņēmumu neatļauj"
"Ir tendence, ka Java lāpīšanai nav labu procesu."
Tātad problēma nav Java, bet lietotājiem nav ieraduma to atjaunināt, vai ne?
Godīgi sakot, java problēma ir tik droša, ja mēs to salīdzinām ar flash java ir 20 reizes drošāka, problēma ir tā, ka tā pārmeklē valodu. mācīties ir seksīgi, bet tas ir murgs LOL!
Es gribēju pateikt * ne tik drošība *
Daudzas reizes mums netiek dota arī iespēja, Oracle ar saviem ierobežojumiem.
No savas puses es izmantoju OpenJDK, un līdz šim nav sūdzību 🙂
Es mēģināju Debian Squeeze atinstalēt sun-java un atgriezties pie noklusējuma, un… ka beigās es pametu.
patiesība ir tāda, ka java jau labu laiku bija laba alternatīva, tagad ir tikai daudz problēmu 🙁
Viena no atkarībām Meksikā ir SAT un IMSS, kas nodrošina, ka jums ir jāizmanto ļoti vecas vairāk nekā 3 gadu versijas, jo, ja jūs nevarat iekļūt viņu portālos.
Es galvenokārt strādāju ar administratīvajiem lietotājiem, un viņi nekad neko neatjaunina, un viņi daudzām valdības programmām izmanto java, un tam noteikti ir nepieciešamas noteiktas versijas, kurās ir lielas ievainojamības. Tas ir arī jautājums, kas tādām iestādēm kā IMSS un SAT Meksikā būtu jāuztver nopietnāk un saglabājiet savas lietojumprogrammas un vairs neizplatiet programmatūru, kas izveidota 2004. gadā vai agrāk, ar šādām problēmām
Nu, es jau ilgu laiku esmu izmantojis sun-java, un patiesība ir tāda, ka man nav sūdzību, lai iegūtu rezultātus, kurus es vienmēr esmu vēlējies, un pat nedaudz pārsniedzot parasto. Attīstības openjdk nav tas, ko es ieteiktu ikvienam, lai gan es domāju, ka tas ir mans kritērijs. Priekā